Er was veel te doen over de onlangs aangekondigde print spooler kwetsbaarheid CVE-2021-34527, ook wel PrintNightmare geheten. Deze heeft namelijk een CVSS-score van 8.8, is in ALLE Windows-besturingssystemen aanwezig, werd bekend gemaakt mét diverse bekende exploits, én aanvallers kunnen ermee eenvoudig op afstand code met systeemrechten uitvoeren.
De PrintNightmare-kwetsbaarheid zit in de functionaliteit waarmee gebruikers printer-drivers kunnen installeren. Het goede nieuws is dat Microsoft deze week snel out-of-band beveiligingsupdates heeft uitgebracht voor de meeste besturingssystemen, waaronder Windows 7 en Server 2008/2008 R2 als je een Extended Security Update (ESU)-abonnement hebt.
Ook is een support-artikel beschikbaar over de exacte werking van de updates en enkele aanvullende configuratieopties. Het slechte nieuws is dat je de print spooler moet uitschakelen of inbound-afdrukken op afstand moet uitschakelen op systemen die je niet kunt updaten. En als je de print spooler uitschakelt, kan je helemaal niet meer afdrukken. En als je het inbound-afdrukken uitschakelt, kan je alleen nog afdrukken op direct aangesloten apparaten.
Microsoft geeft instructies voor beide workaround-opties in het eerdergenoemde support-artikel. Let bovendien op dat dit een nieuwe kwetsbaarheid is, die niet in verband staat met de print spooler fix voor CVE-2021-1675, die vorige maand werd uitgebracht.
Kaseya en Ransomware Evil
De trend van spraakmakende ransomware-aanvallen zette zich deze maand voort met de aankondiging van malware in het Virtual Systems Administrator (VSA)-product van Kaseya. Net als bij het Solarwinds-beveiligingsincident eerder dit jaar was er bij Kaseya sprake van een supply chain-aanval. Dit betekent dat malware via een kwetsbaarheid in het VSA-product is geïntroduceerd en vervolgens tijdens een normale software-update onder klanten is verspreid. De verspreide ransomware is vermoedelijk het werk van de cyberbende REvil (Ransomware Evil), die in totaal 70 miljoen dollar aan Bitcoin losgeld heeft geëist van slachtoffers die hun bestanden wilden ontgrendelen.
Dit bevestigt wederom dat softwarebedrijven sterke software development lifecycle (SDLC) praktijken moeten toepassen en waakzaam moeten blijven bij het testen en beveiligen van hun producten. En op dezelfde manier zouden alle bedrijven een vorm van endpoint-verdediging tegen ransomware moeten hebben. Verdediging tegen moderne ransomware vereist echter dat meerdere technologieën samenwerken.
Zero Trust strategie
Het invoeren van een strategie zoals Zero Trust biedt organisaties een routekaart om de beveiliging van hun gegevens op een volwassen manier aan te pakken. Daarnaast is een belangrijk onderdeel van elke beveiligingsstrategie het minimaliseren van bekende kwetsbaarheden met een agressief software update/patch-managementprogramma.
Microsoft heeft de afgelopen twee Patch Tuesdays een veel kleiner aantal kwetsbaarheden in alle besturingssystemen aangepakt. Zo werden er bijvoorbeeld slechts 26 CVE’s aangepakt in de maandelijkse Windows 10-updates. We zullen zien of die trend zich deze maand voortzet. Windows 10 21H1, dat werd uitgebracht op 18 mei, bundelt nu de servicing stack updates (SSU) en de laatste cumulatieve updates (LCU) in een enkel pakket. Verder staat in verschillende artikelen dat ze de SSU’s mogelijk gaan combineren met andere LCU’s, mogelijk tot aan Server 2016. Ook dat zullen we in de gaten moeten houden.
En tenslotte is op 24 juni officieel Windows 11 aangekondigd. De komende maanden zullen we meer te weten komen over dit nieuwe besturingssysteem, dat naar verwachting rond de feestdagen op de markt komt. Een belangrijke opmerking hierbij: “Windows 11 zal jaarlijks worden bijgewerkt met 24 maanden ondersteuning voor Home of Pro-edities, en 36 maanden ondersteuning voor Enterprise en Education-edities”. Hoewel in mei drie Windows 10-versies zijn vervallen, komt er binnenkort dus weer een geheel nieuw besturingssysteem bij in de vorm van Windows 11.
Patch Tuesday voorspelling
Ik wil graag afsluiten met een aantal voorspellingen:
- De zomerperiode staan voor de deur, dus ik voorspel dat het aantal aangepakte CVE’s deze maand laag zal blijven. Naast de standaard ondersteunde besturingssystemen zullen ook de Extended Security Updates (ESU’s) voor Windows 7 en Server 2008/2008 R2 zoals gebruikelijk worden uitgebracht. Ook zouden er deze maand weer Internet Explorer updates moeten verschijnen, omdat Microsoft er de laatste tijd meer aandacht aan besteedt.
- We hebben al enkele maanden geen SQL server of .NET framework updates meer gezien, dus wees daar alert op.
- Adobe heeft een APSB2151 prenotificatie uitgebracht voor Acrobat en Reader, dus wees voorbereid op die release.
- Apple heeft zijn laatste grote beveiligingsupdates in mei uitgebracht, dus we zouden volgende week een paar nieuwe updates van Apple kunnen zien.
- Google heeft op 30 juni een stable channel-update voor Chrome uitgebracht naar 91.0.4472.147, dus verwacht volgende week geen beveiligingsupdate.
- Mozilla is toe aan beveiligingsupdates voor Firefox en Thunderbird en ik denk dat die volgende week zullen verschijnen.
Conclusie
Gezien de ernst van PrintNightmare, adviseer ik je zorgvuldig te overwegen je patch-cyclus deze maand vroeg te starten en de laatste Microsoft-updates toe te passen om je systemen optimaal tegen misbruik beschermen. Verwacht verder nog een klein aantal kwetsbaarheden die deze maand door Microsoft worden opgelost, maar let er met name op als er zero-days in de lijst staan. En vergeet niet dat Oracle, naast de bekende leveranciers die ik noemde, ook zijn driemaandelijkse Critical Patch Updates release heeft op 20 juli.
Dit is een ingezonden bijdrage van Todd Schell, Senior Product Manager Security bij Ivanti. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
9 uur geleden
